DSGVO 3 | Neue Pflichten für Unternehmen

DSGVO 3 | Neue Pflichten für Unternehmen

Nicht alles was die DSGVO mit sich bringt, ist wirklich neu. Viele Verpflichtungen sind bereits vom Österreichischem Datenschutzgesetz (DSG 2000) her bekannt. Daraus lässt sich übrigens schlussfolgern, dass Unternehmen, die den Datenschutz schon bisher sehr ernst genommen haben, sich auch bei der Umstellung zur DSGVO erheblich leichter tun werden. Allerdings hält die Verordnung auch für diese datenschutztechnischen Vorzeigeunternehmen einige Stolperfallen bereit.

DSGVO-Leitfaden
Alle KMU-Essentials im kompakten White Paper zum gratis Download.

DSGVO-Leitfaden
Alle KMU-Essentials im kompakten White Paper zum gratis Download.

Pflicht zu Datenschutz-Folgenabschätzung

So etwa die Pflicht zu Datenschutz-Folgenabschätzung. Eine solche ist immer dann durchzuführen, wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten besteht. Oder anders umschrieben: Wenn die Datenverarbeitung besonders sensibler Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Für eine solche Folgenabschätzung müssen Unternehmen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschreiben sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewerten.

Schwer abschätzbare Auswirkungen

Und hier liegt leider auch der sprichwörtliche Hund begraben: Die DSGVO liefert nämlich nur die allgemeinen, eher schwammigen Vorgaben. Wie und nach welchen Kriterien die Folgen und Risiken für Betroffene abgeschätzt werden sollen und können bleibt weitgehend offen. Abgesehen davon, dass die (vermutlich notwendige) Konsultation der zuständigen Aufsichtsbehörde zu noch nicht abschätzbaren (negativen) Auswirkungen und zu vermehrter Bürokratie führen dürfte.

Datenverarbeitungsregister

Erfreulicher ist da schon die Tatsache, dass es künftig keine Meldungen ans DVR (Datenverarbeitungsregister) mehr geben wird. Stattdessen werden Unternehmen ein internes Verzeichnis von Verarbeitungstätigkeiten führen müssen. In diesem werden beispielsweise Namen und Kontaktdaten des Verantwortlichen, der Zweck der Datenverarbeitung, die Kategorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien von Empfängern und eine Allgemeinbeschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen enthalten sein. Fehlt ein solches Verzeichnis, droht ein Bußgeld von bis zu 10 Mio. Euro bzw. bis zu zwei Prozent des Jahresumsatzes.

Datenschutzbeauftragter

Lange gestritten wurde darüber, ob nun jedes Unternehmen einen so genannten Datenschutzbeauftragten bestellen muss. Seine Aufgabe ist es, auf die Einhaltung der datenschutzrechtlichen Vorgaben hinzuwirken sowie die gesetzmäßige Nutzung von EDV-Programmen im Unternehmen zu kontrollieren und zu überwachen. Der Datenschutzbeauftragte ist in seiner Funktion zwar der Geschäftsleitung unterstellt, agiert aber weisungsfrei. Er ist zudem zur Verschwiegenheit verpflichtet und genießt einen zusätzlichen Kündigungsschutz.

Österreich belässt es bei Mindestvorgaben 

Der österreichische Gesetzgeber hat sich in seiner nationalen Regelung übrigens dafür entschieden, bei der Bestellung eines Datenschutzbeauftragten nicht über die Mindestvorgaben der DSGVO hinaus zu gehen. Das heißt: Ein solcher muss nur in Betrieben verpflichtend bestellt werden, deren Kerntätigkeit in einer „umfangreichen regelmäßigen und systematischen Beobachtung von betroffenen Personen, umfangreichen Verarbeitung besonderer Kategorien von Daten („sensibler Daten“) oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht“. Selbstverständlich bleibt es jedem Unternehmen überlassen, auf freiwilliger Basis einen Datenschutzbeauftragten zu ernennen. Dieser genießt dann aber auch sämtliche Rechte und Pflichten.

Meldungspflicht bei Datenschutzerletzungen

Tritt der schlimmste Fall der Fälle ein und es kommt zu Datenschutzverletzungen, etwa durch einen Hackerangriff, übel gesinnte (Ex-)Mitarbeiter oder den Verlust eines Datenträgers, dann sind Unternehmen laut DSGVO dazu verpflichtet, den Vorfall der Datenschutzbehörde und den betroffenen Personen zu melden. Der so genannten Pflicht zur „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“ ist binnen 72 Stunden nach Kenntnisnahme des Vorfalls nachzukommen. Eine kleine Ausnahme gibt es jedoch wenn die Datenschutzverletzung voraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet – dann kann eine solche Meldung unterbleiben. Es bleibt aber noch abzuwarten, wie die Behörde die Formulierung „voraussichtlich kein Risiko“ definieren wird.

Dokumentation und weitere Pflichten

Gleichzeitig mit der Meldung muss das betroffene Unternehmen auch die Datenpanne einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und die ergriffenen Maßnahmen dokumentieren. Fast schon unnötig zu erwähnen, dass bei einem Verstoß gegen die Meldepflicht ein Bußgeld von bis zu 10 Mio. Euro bzw. bis zu 2 Prozent des weltweit erzielten Jahresumsatzes verhängt werden kann.

Weitere Pflichten für Unternehmen ergeben sich zudem durch die erheblich erweiterten Rechte der Betroffenen, also jener Personen, um deren Daten es sich handelt. Um welche Rechte es hier konkret geht, lesen Sie im nächsten Kapitel.



DSGVO 1

Grundlagen


DSGVO 2

Wer ist betroffen?


DSGVO 4

Informationspflichten


Du wünscht weitere Informationen?

Sehr gerne informieren und beraten wir dich in einem persönlichen Gespräch.

Datensicherung

Sebastian Hinterseer

Unser Key Account Manager meldet sich umgehend.


Christian Lanner

Ist Fachjournalist mit Schwerpunkten IT, Gebäudeautomation, Consumer Electronic und Home Appliances. Er war unter anderen für die Computerzeitschrift „PC Austria“, die Tageszeitung „Die Presse“ sowie das Nachrichtenmagazin „Format“ tätig und danach langjähriger Chefredakteur des damals führenden Elektro-Branchenmagazins „Elektrojournal“. Nach seiner Tätigkeit als Chefredakteur des IT-Magazins „Monitor“, arbeitet der gebürtige Steirer jetzt als freier Journalist.

Datensicherung